Zakoni prijetnje ponovo se obnavljaju za eksploataciju ranjivosti u široko korištenom apartmanu Ivanti proizvoda, sa prividnom linkom za kinesku sposobnost špijunaže
Od
- Alex Scroxton,Sigurnosni urednik
Objavljeno: 10. jan 2025 14:45
Sigurnosni dobavljač Ivanti se još jednom našao u centru proširenja serije kršenja nakon što se pojavio da su dvije svježe objavljene ranjivosti u nizu njegovih proizvoda koje su vjerojatno iskorištavali porculan akumulatorima za prijetnju porculane.
Ranjivost u pitanju – koja su označena CVE-2025-0282 i CVE-2025-0283 – utiču na Ivanti-ov Connect Secure, Secure i neurone za proizvode ZTA.
Oba pitanja su u početku otkrivena na osnovu naznaka iz Ivantijev alata za provjeru integriteta (ICT) – koja je dizajnirana da pomogne korisnicima da identificiraju kompromise – i istovremeno otkrili eksploataciju prijetnji, omogućujući da se firmi brzo razvija. Od tada radi s Mandiam i sanacijom Google Cloud-a.
Eksploatacija prvo omogućava aktoru prijetnje da postigne neuhvaćeni daljinski izvršenje (RCE) i eksploataciju drugog omogućava lokalno ovjereni napadač da eskalira svoje privilegije.
CVE-2025-0282 zvanično je nula-dan, a već je dodan u cyber-likurijsku i infrastrukturnoj sigurnosnoj agenciji (CISA) poznatih eksploatiranih ranjivosti (KEV) katalog. U Velikoj Britaniji, glasnogovornik Nacionalnog Cyber sigurnosnog centra (NCSC), rekao je: “NCSC radi na tome da u potpunosti razumiju uticaj u Velikoj Britaniji i istražujući slučajeve aktivnog iskorištavanja koji utječu na mreže u Velikoj Britaniji.”
U stvarnom svijetu, rekao je Ivanti, ograničen broj korisnika njegovih sigurnosnih uređaja utjecao je CVE-2025-0282 od četvrtka 9. januara 2025. Međutim, ni politika sigurni ili neuroni ZTA Gateways, i od 9. januara, nije bilo zaključnih dokaza da je CVE-2025-0283 uopšte iskorištavao.
Patch je sada dostupan za oba Cves u Connect Secure, ali za sada je data sigurna politika općenito je unutarnje mrežu korisnika i eksploatacija o neuronima zahtijeva provjeru autentičnosti i ograničenja, obojica ostaju uzakonita, iako je ispravčić dospio 21. januara.
Glasnogovornik Ivanti rekao je: “I dalje blisko sarađujemo sa pogođenim kupcima, vanjskim partnerima za sigurnost i agencije za provođenje zakona dok odgovaramo na ovu prijetnju. Snažno savjetujemo sve kupce da pomno prate svoj unutrašnji i vanjski IKT kao dio robusnog i slojevitog pristupa cyber sigurnosti kako bi se osigurao integritet i sigurnost cijele mrežne infrastrukture.
“Napravili smo dodatne resurse i timove za podršku koji su na raspolaganju da pomognemo kupcima u provedbi zakrpa i baviti bilo kakvim problemima.
“Hvala našim kupcima i sigurnosnim partnerima na njihovom angažmanu i podršci, što je omogućilo našu brzu otkrivanje i odgovor na ovo pitanje”, dodali su. “Ostajemo posvećeni kontinuirano poboljšavanju naših proizvoda i procesa kroz saradnju i transparentnost.
“Ovaj incident služi kao podsjetnik na važnost kontinuiranog praćenja i proaktivnih i slojevitih sigurnosnih mjera, posebno za rubne uređaje (poput VPN-ova) koji pružaju osnovnu uslugu kao početnu pristupnu točku u korporativnu mrežu – ali koji su također vrlo privlačni napadače. “
Najnovija veza s Kinom
Prema Mandiant-u, u najmanje jednoj instanci, akter prijetnje uspio je koristiti mane da bi implementirali elemente zlonamjernog softvera EcoSystem, uključujući mljeveni, tuneler i spawnnail, ssh backdoor.
Mandianci su rekli da se upotreba ovih zlostavljača nakon ciljanja Ivanti proizvoda pripisuje klaster aktivnosti za prijetnju, koji je povezan sa UNC5221, osumnjičenom kineskim nexus špijunskim grupom za koje se poznaje početkom 2024. godine.
Pisanje na LinkedInu, mandiant Carles Carmakal opisala je najnoviju kampanju UNC5221 kao razvoj i još uvijek pod analizom i nagovještava da u mješavini mogu postojati drugi akteri prijetnji. Opisujući scenarij “potencijalne masovne eksploatacije”, pozvao je Ivanti korisnike da prioritetju prioritet odmah primjenjujući nove zakrpe.
Međutim, upozorio je, ovaj proces možda nije bez rizika. “Aktar za prijetnju proveo je romana tehniku za prevare administratore u razmišljanje da su uspješno nadogradili sistem”, napisao je.
“Aktar za prijetnju rasporedio je zlonamjerni softver koji blokira legitimne nadogradnje sistema istovremeno prikazuje lažnu traku napretka u nadogradnji. To stvara uvjerljivu fasadu uspješnog ažuriranja, kada u stvarnosti, zlonamjernog softvera tiho sprečava stvarnu nadogradnju. Neke organizacije mogu pretpostaviti da su se bavilo ranjivosti kada zapravo nisu. “
Dodao je da su napadači imali barem jednu instancu pokušali zaobići Ivanti IKT kao dio svog napadačkog lanca. Mandiant javna analiza uključuje detalje o tome kako ispričati uspješnu ICT skeniranje osim neuspješnog skeniranja na kompromizirani uređaj.
‘Uzmi ovo ozbiljno’
Benjamin Harris, generalni direktor WatchtowR-a, specijalista za upravljanje napada, pozvao je Ivanti korisnike da obvezuju pažnju na najnoviju razvoj.
“Naša zabrinutost je značajna jer ovo ima sve oznake apt upotrebe nulte dana protiv aparata za kritični misiju”, rekao je. “Takođe podseća i na ponašanje i dramske cirkulaciju Ivanti proizvodima koje smo u industriji vidjeli u januaru 2024. godine i možemo se samo nadati da je Ivanti saznao iz tog iskustva u vezi s tim da se razlikuje efikasan odgovor.
“WatchTowr klijent ili ne – pozivamo sve da ovo shvati ozbiljno. Bacite svoju ranjivost u poslovični vjetar u ovakvim situacijama, oni više nisu relevantni i razlika između brzog odgovora i odgovora u satima može biti razlika između vaše organizacije ili ne. “
Ovaj je članak uređen u 15:05 GMT u ponedjeljak, 13. januara kako bi pojasnio da su ranjivosti i njihovo iskorištavanje otkrivene putem Ivanti isporučenih alata.
Pročitajte više o upravljanju mrežnim sigurnošću
-
Ivanti ZERO-Dnevna krpa povećava usred napada u toku
Napisao: Arielle Waldman
-
Mandiant Linkovi Ivanti nulta eksploatacija kineskim hakerima
Napisao: Arielle Waldman
-
Kritični Ivanti povezuju sigurnu propusnost od nula pod napadom
Napisao: Alexander Culafi
-
Fortinet Fortimanager ZERO-Dnevna mana eksploatirana od juna
Napisao: Rob Wright